Specker Balázs

Hálózati átvilágítás JavaScripttel

Internetes biztonsági szakértők felfedezték, hogyan lehet JavaScript használatával feltérképezni egy otthoni vagy céges hálózatot, és támadást indítani az ott található eszközök ellen.

Az ártó szándékú JavaScipt kód beágyazható egy weboldalba anélkül, hogy egy szokványos böngésző bármi figyelmeztetést is adna annak megtekintésekor. A SPI Dynamics szakemberei szerint a tűzfalak és más biztonsági óvintézkedések is hatástalanok maradnak, mivel a program a böngészőn belül fut.

"Felfedeztünk egy olyan technikát, amellyel átvilágíthatóvá és támadható válik a kiszemelt hálózat, illetve a benne megtalálható összes webre kötött eszköz. Ráadásul így akár a tűzfalak mögötti céges hálózatok is elérhetőek" - tájékoztatott Billy Hoffmann, az SPI Dynamics webbiztonsági cég vezető-mérnöke a ZDNet oldalán. Hoffmann szerint egy ilyen jellegű támadással a behatoló feltérképezheti az áldozat routerét, majd az elküldött utasítások segítségével akár a felhasználó vezetéknélküli internethozzáférését is engedélyezheti, és kikapcsolhat minden védelmet, de belső támadásnak látszó külső behatolások is indíthatóak egy vállalat szervei ellen.

"A felhasználó böngészője révén belső hálózatokba is be lehet törni" - nyilatkozta Jeremiah Grossmann, a webes biztonsági alkalmazásokat fejlesztő WhiteHat Security technológiai vezetője. A két vállalat szinte egyszerre fedezte fel a JavaScript alapú "hálózat-röntgent", így a héten Las Vegas-ban megrendezésre kerülő, Black Hat elnevezésű, netbiztonság-technikai eseményen megosztják egymással tapasztalataikat.

Habár a JavaScript már jóideje alkalmas ilyen jellegű támadásokra, Fyodor Vaskovich, a népszerű Nmap port scanner alkotója szerint, a biztonsági szakemberek elsősorban a webböngészők hiányosságaira koncentrálnak, mivel ezekre gyorsabban és egyszerűbben írhatók különböző ártalmas programok.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • ThiefHu #49
    Akit erdekel a teljes tanulmany magyarul az megtekintheti itt: http://insecurity.hu
  • wanek #48
    "java appletek nagyon lassuak, legalabbis amiket en lattam, cgi, asp, perl ... megatobbi nem kell." - szerintem nagyon nem vagy képben. A Java applet a gépeden fut (és a Java szerintem is nagyon lassú), a "cgi, asp, perl" pedig a szerveren, aminek az eredménye a képernyődön megjelenik, de a felhasználónak ebből a szempontból lényegtelen, hogy a szerveren mi fut.
  • Dj Faustus #47
    "...ami a forma es a tartalom elvalasztasat illeti - hat az adat pl. mysql adatbazisba kerul a format meg lehet varialni"
    Csak itt a tartalom és a forma szétválasztásáról, nem az az adatbázisban tárolt adat és a felhasználó által böngészhető tartalom szétválasztásáról volt szó.
    Két különböző dolog.

    "cgi, asp, perl ... megatobbi nem kell."
    HTML-ből nem fogod elérni az adatbázist...

    "Ami a tablakat illeti - minden bongeszoben egyforman nez ki"
    1. Hogy táblázatos oldalszerkezetet használsz, annak az az oka, hogy a HTML nyev eredetileg nem arra lett kitalálva, amire mostanság használják - azaz layout-ok készítésére. Ez menti meg egyedűl a táblázatokat - a régi böngészők - de szerencsére nem sokáig.
    2. Jelenleg arra felé halad a trend, hogy minden egyes taget arra használjanak, amire való. Táblázatot táblázatos adatok megjelenítésére, CSS-t a formázásra.
    3. Vajon miért beszélnek egyre inkább szakmai fórumokon (kis hazánkban például a Weblabor) egyre többet a táblázatos oldalszerkezet elhagyásáról? CSS-redesign-ról? Szemantikusságról? Akadálymentességről?
    Miért nem ennek ellenkezője (igénytelenség, nem-törödömség) a húzóerő? Miért nem ezekről tartanak konferenciát, adnak ki szakkönyveket? Ja, mert a webes nyelvek fejlődnek!
  • vaddiszno #46
    ...ami a forma es a tartalom elvalasztasat illeti - hat az adat pl. mysql adatbazisba kerul a format meg lehet varialni .... gondolom a tartalmat nem text fileokban tartjatok ... ott a Joomla meg a tobbiek. Es ami a server terheltseget illeti, php-ban is lehet optimalizalni a kodot, erre az egyik rossz pelda a Typo3. Ami az internetes vasart illeti, mondjuk ott rendelek, de a fizetest nem ott bonyolitom le. En meg a bankoknak a webes szolgaltatasait se hasznalnam. Az emberkek egy rakas scriptet hasznalnak , de a nagyresze az oldal pofazmanyat befojasolja, vagy felmegoldasokat nyujt ... java appletek nagyon lassuak, legalabbis amiket en lattam, cgi, asp, perl ... megatobbi nem kell. Ami a tablakat illeti - minden bongeszoben egyforman nez ki, a css deklaracios reszerol meg irtak mar elottem ... de az kimaradt h mennyit kell bogozgatni h egy par ablakot/cellat normalisan elhelyezz ... a tablaknal meg minimalis energiaval szep dolgokat lehet kihozni - table bg + cell bg + kep a cellaba, esetleg meg page bg ... es persze minden darabka minden bongeszoben a helyen van. Azzal mondjuk egyetertek h mega-siteoknal/portaloknal nem szamit a design, de a tobbieknel biza sokat nyom a latban.
  • wanek #45
    "Mégis rengetegen fejlesztenek pl. ActiveX-es alkalmazásokat intranetre - ami alapból csak IE-n működik" - itt van az igénytelenség remek mintapéldája. Egy webes alkalmazást azért készítenek webesre, mert akkor a kliens oldalon egy gyengébb gép is elegendő, amin elmegy egy böngésző. Ez egyben elvileg platformfüggetlenséget is eredményezne. Persze nem úgy, hogy csak szutyok msie-activex-windows alatt mehet, mert azzal csak adtak a szarnak egy pofont.

    "Ha sűrűn van használva a Windows Update (ami azért elvárható dolog - mármint az operációs rendszer frissítéseinek rendszeres telepítése), akkor az IE 5-nek is illett volna frissülnie IE 6-ra..." - na persze. Ismerjük a taktikát. Ha egy biztonsági rést egy harmadik cég befoltoz, akkor jön egy update, ami további hibákat eredményez, vagy nemkívánatos dolgokat csempész az ember gépére (lásd az eredetiségvizsgálat árulkodó tevékenységét, amire szerencsére fény derült. És még ki tudja, mennyi ilyen árulkodó van? Pontosabban: lehet tudni egy jópár beépített "kémprogramról". WMP, MSIE, ActiveSync, Outlook, stb.). Köszi, de nem kérek belőle. Ez így egy végtelennek tűnő mókuskerék, amiből még időben ki kell szállni.

    "Bűn, de édes bűn." - én inkább keserű pirálának nevezném.

    "Mégis rengetegen fejlesztenek pl. ActiveX-es alkalmazásokat" - Egy klasszikus mondás erre: "Többmilliárd légy nem tévedhet! Együnk szart!"
  • wanek #44
    Beidézhetted volna a továbbiakat is, és akkor ilyen népi "bölcsességeket" nem tudtál volna elsütni.
  • Dj Faustus #43
    ""A fejlesztő cég felmérte/megkapta-e, hogy a cég milyen verziójú szoftvereket használ?" - minek azt tudni?"
    Azért hogy ne kerüljön a fejlesztő/a felhasználó zűrös helyzetbe.
    Például más-más motor kell egy lemezjátszóba és egy porszívóba. Mindkettő elektromos motor, mégis más elvárások vannak velük szemben.
  • Dj Faustus #42
    " biztos a legfrissebb Mozilla volt rajta. Szóval mennie kellett volna, ha a kritérium a "legfrissebb"."
    Ha sűrűn van használva a Windows Update (ami azért elvárható dolog - mármint az operációs rendszer frissítéseinek rendszeres telepítése), akkor az IE 5-nek is illett volna frissülnie IE 6-ra...

    "Egy ilyen böngészőre fejleszteni a legnagyobb felelőtlenség. Én azonnali hatállyal világgá zavartam volna azt, aki olyan webes alkalmazást készít, ami csak a szutyok msie alatt megy."
    Mégis rengetegen fejlesztenek pl. ActiveX-es alkalmazásokat intranetre - ami alapból csak IE-n működik. Miért? Mert egyszerűen integrálható a Windowsos alkalmazásokhoz.

    "de bűn olyan alkalmazást készíteni, ami csak egy meghatározott böngészővel megy."
    Bűn, de édes bűn. Lásd az ActiveX-re tett megjegyzésem.
  • wanek #41
    "És mivel ez egy céges/oktatási intézményes alkalmazás lehetett, elvárható lett volna a webböngésző legfrissebb változatának használata (biztonsági frissítésekkel egyetemben)." - biztos a legfrissebb Mozilla volt rajta. Szóval mennie kellett volna, ha a kritérium a "legfrissebb".
    Mellékesen megjegyezném, hogy pont a mikrofos volt az, ami - különböző biztonsági problémák miatt - állandóan azt javasolta a felhasználóknak, hogy ezt, meg azt a funkciót kapcsolják ki, bizonyos dolgokat ne engedélyezzenek, stb. Nos, ha ezt az ember megtette, akkor egy olyan nulla tudású böngészője maradt, ami gyakorlatilag semmire sem volt alkalmas. Egy ilyen böngészőre fejleszteni a legnagyobb felelőtlenség. Én azonnali hatállyal világgá zavartam volna azt, aki olyan webes alkalmazást készít, ami csak a szutyok msie alatt megy. A hozzá nem értés magasiskolája.

    "A fejlesztő cég felmérte/megkapta-e, hogy a cég milyen verziójú szoftvereket használ?" - minek azt tudni? Olyat kell csinálni, ami minden elterjedt böngészővel megy. Az elterjedtséget úgy határoznám meg, hogy ami (ha csak magyarországi felhasználóknak készül) Magyarországon 1%-osnál nagyobb "piaci részesedéssel" rendelkezik. Persze lehet vitatkozni a százalékon, de bűn olyan alkalmazást készíteni, ami csak egy meghatározott böngészővel megy.
  • Dj Faustus #40
    "van rajta egy ie5, mire a válasz, ja azzal sem megy 6.0 xxxx kell neki!"
    Valószínűleg akkor már létezett az IE 6-os változata.
    És mivel ez egy céges/oktatási intézményes alkalmazás lehetett, elvárható lett volna a webböngésző legfrissebb változatának használata (biztonsági frissítésekkel egyetemben).

    "Na ennyit a javaról meg a kompatibilitásról."
    Ez most javas, vagy javascriptes alkalmazás volt?
    A fejlesztő cég felmérte/megkapta-e, hogy a cég milyen verziójú szoftvereket használ?